Mangelhafte IoT Sicherheit, ein kostspieliges Vergnügen
Am 21. September 2016 wurde die Website von I(o)T Sicherheitsanalyst Brian Krebs Ziel eines riesigen, außergewöhnlichen DDoS (Distributed Denial of Service) Angriffs – möglich einzig durch mangelhafte IoT Sicherheit – und einen findigen Hacker.
Der Angriff begann am Abend des 21. gegen 20.00 Uhr. Mit bis zu 665 Gigabit pro Sekunde (!) hämmerte ein riesiges Netzwerk von gehackten und mit Miari infizierten „Internet of Things“ (IoT)-Geräten wie Internet-Routern, Sicherheitskameras und digitalen Videorecordern auf den Server des Analysten ein, dessen Infrastruktur immerhin durch den DDoS Schutz von Akamai abgesichert war.
Laut Akamai war das Volumen der Attacke auf Brian Krebs Website fast doppelt so groß, wie der größte Angriff, den sie zuvor gesehen hatten – und gehörte auch zu den größten DDoS (Distributed Denial of Service) Angriffen, die das Internet je erlebt hat.
Eine neue Studie, die versucht, die direkten Kosten dieses einen Angriffs für IoT-Gerätebenutzer zu messen deren Maschinen und Geräte für den Angriff genutzt wurden, fand heraus, dass es die Gerätebesitzer insgesamt 323.973,75 $ an überschüssigem Strom und zusätzlichem Bandbreitenverbrauch gekostet haben könnte.
Bereits 2016, als der oben beschriebene Angriff stattfand, hatte der Hacker hinter Miari über 600.000+ Geräte die Kontrolle übernommen – mangelhafte IoT Sicherheit machte es möglich. Für den Angriff auf Brians Krebs Blog kamen dabei jedoch nur ca. 24.000 Geräte zum Einsatz – ein Fünfundzwanzigstel (1/25) des damals verfügbaren Potentials.
Eine DDoS-Attacke von 600.000 versklavten IoT-Geräten mit ~16+ Terabit pro Sekunde würde vermutlich selbst militärische Digital-Infrastrukturen lahmlegen können – dabei schon nur durch den Angriff selbst Kosten in Höhe von mehreren Millionen verursachen.
Auch zukünftige Angriffe dieser Art werden die gleiche Ursache haben, wie schon 2016. Schuldig an ihnen sind (und werden sein) die IoT-Geräte-Hersteller für das Inverkehrbringen billiger, schlecht gestalteter Produkte (standardmäßig unsicher) – schuldig aber auch die Kunden, die diese IoT-Geräte kaufen und mit dem Internet verbinden, ohne auch nur z.B. die Werkseinstellungen der Geräte geändert zu haben (zumeist die Default-Passwörter).
Einem aktuellen Bericht folgend, wurden im Jahr 2017 über 7,5 Millionen DDoS Angriffe registriert, viele davon auf gewerbliche/kommerzielle Anbieter. Von denen hatten über 55% finanzielle Einbußen im Umfang von 10.000 bis 100.000 $ durch diese Angriffe zu beklagen. Dieser Schaden hat sich im Vergleich zum Vorjahr nahezu verdoppelt.